我最近一直在试图build立一个新的Ubuntu服务器环境,我们想要build立一个类似于旧版Windows AD的单一login系统。 在这种情况下,您将使用kerberos用户名和密码进行SSH连接,并像往常一样对其进行身份validation,并且如果您还没有本地主目录,并且可以以普通本地用户身份进行操作,则会创build本地主目录。
在这种情况下,我们所有的服务器都是Ubuntu Server 16.04 / 16.10,这是不能改变的。
我一直跟着O'Reilly的书“Kerberos:权威指南”学习,从这里我设法正确地设置了我的KDC和DNS,这个问题似乎是正确的。我试图build立一个客户端,我把krb5.conf文件戳到正确的位置,确保我有用户主体,但是每当我尝试login时,它都会挂起一秒钟,然后authentication失败,出现错误: Decrypt integrity check failed在auth.log
在这种情况下,我使用PAM模块pam_krb5.so和pam_mkhomedir.so创build一个新的用户主目录。 这些是使用Ubuntu的pam-auth-update实用程序设置的。
我可以得到kerberos门票,如果我从客户机手动kinit ,但login似乎完全失败。
一段时间以来,我们试图评估FreeIPA,但是对于我们来说,这似乎在Ubuntu上看起来非常糟糕,无法挽回,看起来似乎比它更值钱。
我真的不知道我在这里错过了什么,每当我试图find关于这个主题的信息时,都觉得我错过了一些预期的关键步骤,但似乎没有人告诉我?
谢谢!